サービス接続ポリシーを使用してマネージドサービスインスタンスをデプロイする

このページでは、サービスインスタンス管理者がマネージドサービスのインスタンスをデプロイし、サービス接続ポリシーを使用して接続を構成する方法について説明します。

始める前に

デプロイするマネージドサービスがサービス接続ポリシーをサポートしていることを確認します。サービス接続マップを使用してサービスをデプロイできるようにする機能は、制限付きプレビューで利用できます。サービス接続マップをサポートするサービスの詳細については、サポートサービスをご覧ください。
デプロイする VPC ネットワーク、リージョン、マネージドサービスにサービス接続ポリシーが必要です。

必要なロール

VPC ネットワークに対する IAM 権限はサービス接続ポリシーで委任されるため、サービスインスタンス管理者にはこうした権限は必要ありません。ただし、サービス接続ポリシーを使用してデプロイされる特定のマネージドサービスには、IAM 権限が必要になる場合があります。特定のマネージドサービスに必要な IAM 権限については、サービスのドキュメントをご覧ください。

マネージドサービスインスタンスをデプロイして接続を構成する

サービスにサービス接続ポリシーが存在する場合、コンシューマーサービス管理者は、デプロイするマネージドサービスインスタンスの接続をマネージドサービスの管理 API または UI を介して直接構成できます。

マネージドサービス接続をデプロイするには、次の操作を行います。この手順は、マネージドサービスによって異なる場合があります。

マネージドサービスの管理 API または UI を使用してサービスインスタンスをデプロイし、接続タイプとして Private Service Connect を指定します。このサービスでは、Private Service Connect エンドポイントをデプロイする VPC ネットワークを指定できます。

たとえば、Cloud SQL インスタンスの接続をデプロイして構成できます。

注: この VPC ネットワーク、リージョン、サービスクラスに対して、サービス接続ポリシーが存在している必要があります。それ以外の場合、サービスクラスで記述されるサービスプロデューサーには、ユーザーに代わって接続をデプロイする権限がありません。
すべての認可チェックに合格すると、接続がデプロイされます。Network Connectivity サービスアカウントは、指定された VPC ネットワークに内部 IP アドレスと Private Service Connect エンドポイントを作成します。

エンドポイントのライフサイクルは、マネージドサービスインスタンスのライフサイクルと一致します。接続を再構成するか、サービスインスタンスを廃止しない限り、エンドポイントはアクティブで安定した状態を維持します。
Network Connectivity サービスアカウントがエンドポイントを作成すると、手順 1 で構成したプロジェクトにエンドポイントの転送ルールが表示されます。この転送ルールは、プロデューサーによって接続が受け入れられたことを示しており、エンドポイントに割り当てられた IP アドレスが含まれています。

サービス接続ポリシーを使用して作成された転送ルールの名前は sca-auto- で始まります。以下に、サービス接続ポリシーを使用して作成された転送ルールの例を示します。
```
kind: compute#forwardingRule
name: sca-auto-ab3f45d
IPAddress: 10.33.2.8
allowPscGlobalAccess: true
network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1
pscConnectionStatus: ACCEPTED
region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d
serviceDirectoryRegistrations:
-namespace: goog-psc-default
target:
https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa
```
新しいエンドポイントへの接続方法に関する情報がサービスから提供される場合があります。たとえば、IP アドレスが提供されます。その場合は、提供された IP アドレスを使用してサービスと通信を行います（この通信では Google Cloud内の内部 IP アドレスが使用されます）。

特定のサービスを構成する方法については、そのサービスのドキュメントをご覧ください。

サービス接続を廃止する

サービス接続を廃止したり、サービス接続ポリシーを使用してデプロイされたマネージドサービスインスタンスを廃止するには、マネージドサービスの管理 API または UI を使用します。マネージドサービスに関連付けられている各サービスインスタンスを削除します。サービスインスタンスが削除されると、サービス接続の自動化により、関連する接続とエンドポイントが削除されます。

トラブルシューティング

このセクションでは、サービス接続の自動化によって作成された接続のトラブルシューティングについて説明します。

エンドポイントの作成または削除の失敗

承認済みエンドポイントが想定どおりに作成または削除されない場合は、サービス接続ポリシーの説明を参照してください。pscConnections フィールドには、ブロックエラーとその解決方法の詳細が含まれています。

問題が解決すると、サービス接続の自動化によりオペレーションが自動的に再試行され、エンドポイントが作成または削除されます。

また、再試行プロセスの開始を待ちたくない場合は、デプロイするマネージドサービスの管理 API または UI を使用して、有効な構成で別のサービスインスタンスのデプロイと接続をリクエストできます。